安全 : 思科入侵防御系统

IPS模块的重新镜像进程在ASA故障切换对配置示例

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文描述要求的进程再镜像在可适应安全工具(ASA)故障切换对的硬件或软件入侵防御系统(IPS)模块。此进程可以应用到Cisco ASA 5500和5500-X系列防火墙设备。在本文的配置示例是为一个活动/等待故障切换配置。一相似的进程可以在激活/活动配置里按照;然而,您必须保证没有运行活动的上下文,在重新加载执行前。

贡献由托德普拉, Cisco TAC工程师。

先决条件

要求

Cisco 建议您了解以下主题:

  • 使用IPS软件升级的命令行界面(CLI)
  • 使用ASA故障切换配置的CLI

使用的组件

本文档中的信息根据安全服务模块(SSM),安全服务服务处理器(SSP)和软件在ASA的IPS模块5500和5500-X系列防火墙设备。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

背景信息

在某些情况下,再镜像一个IPS硬件或软件模块在ASA故障切换对部署也许是必要的。例如,尽管没有IPS操作系统的,正式降级选项降级从发布7.0(8)的版本7.1(7)要求重新镜像。在重新镜像期间,这些步骤用于最小化网络中断或错误故障切换的机会。

  1. 完成在IPS模块的重新镜像进程在待机ASA。
  2. 做待机ASA激活ASA。
  3. 完成在新的待机ASA (前面的激活)的重新镜像进程。
  4. 如果需要恢复新的待机ASA到活动状态。

注意:在少见的情况下两个模块在故障状态的地方,第一单元联机了造成ASA先占有故障切换状态。例如,主要的ASA有活动状态并且有儿童模块在故障状态。在待机ASA的IPS也在故障状态。IPS在待机ASA然后重新启动。使用在一故障状态的IPS在主要的激活ASA,故障切换进程认为待机更加理想,并且强制它变得激活。

配置

初始步骤

  1. 备份两个传感器当前运行的配置到外部服务器利用CLI (例如:复制当前设置ftp://cisco123:cisco123@10.10.10.10/ips1-backup)
  2. 安置IPS系统镜像文件在外部TFTP server (例如:IPS-SSM_40-K9-sys-1.1-a-7.0-8-E4.img)。

再镜像在当前待机ASA (5500系列的ASA的IPS只)

  1. 连接对待机ASA的CLI通过控制台、Telnet或者安全壳SSH。
  2. 输入show failover命令为了验证ASA是备用装置。
  3. 输入hw-module模块1恢复configure命令在ASA并且配置适当的IP/TFTP设置。
  4. 输入hw-module模块1恢复boot命令在ASA为了转换镜像和重新启动IPS模块。
  5. 输入show module 1详细信息on命令ASA为了监控恢复状态。
  6. 一旦完成,请输入会话1 on命令ASA为了连接到IPS模块。
  7. 在IPS,请输入setup命令并且配置IP子网掩码/Gateway/ACL。
  8. 使用在网络的IPS模块上一步,请通过CLI恢复上一个configuraton (例如:复制ftp://cisco123:cisco123@10.10.10.10/ips1-backup当前设置)
  9. 为了验证IPS运行的配置更新,请输入show config命令
  10. 重新安装签名许可证并且升级签名定义如所需求。
  11. 在待机ASA,请输入failover active命令为了做备用装置激活。

再镜像在新的待机ASA (5500系列的ASA的IPS只)

  1. 连接对新的待机ASA的CLI通过控制台、Telnet或者SSH。
  2. 输入show failover命令为了验证ASA是新的备用装置。
  3. 输入hw-module模块1恢复configure命令在ASA并且配置适当的IP/TFTP设置。
  4. 输入hw-module模块1恢复boot命令在ASA为了转换镜像和重新启动IPS模块。
  5. 输入show module 1详细信息on命令ASA为了监控恢复状态。
  6. 一旦完成,请输入会话1 on命令ASA为了连接到IPS模块。
  7. 在IPS,请输入setup命令并且配置IP子网掩码/Gateway/ACL。
  8. 使用在网络的IPS模块上一步,请通过CLI恢复先前配置(例如:复制ftp://cisco123:cisco123@10.10.10.10/ips1-backup当前设置)。
  9. 为了验证IPS运行的配置更新,请输入show config命令
  10. 重新安装签名许可证并且升级签名定义如所需求。
  11. 如果需要,请输入failover active命令在新的备用装置为了恢复它到活动状态。

再镜像在当前待机ASA (5500-X系列的ASA的IPS只)

  1. 连接对待机ASA的CLI通过控制台、Telnet或者SSH。
  2. 输入show failover命令为了验证ASA是备用装置。
  3. 输入sw模块模块ips恢复configure命令在ASA并且配置适当的IP/TFTP设置。
  4. 输入sw模块模块ips恢复boot命令在ASA为了转换镜像和重新启动IPS模块。
  5. 输入show module ips详细信息on命令ASA为了监控恢复状态。
  6. 一旦完成,请输入会话ips on命令ASA为了连接到IPS模块。
  7. 在IPS,请输入setup命令并且配置IP子网掩码/Gateway/ACL。
  8. 使用在网络的IPS模块上一步,请通过CLI恢复上一个设置(例如:复制ftp://cisco123:cisco123@10.10.10.10/ips1-backup当前设置)
  9. 为了验证IPS运行的配置更新,请输入show config命令
  10. 重新安装签名许可证并且升级签名定义如所需求。
  11. 在待机ASA,请输入failover active命令为了做备用装置激活。

再镜像在新的待机ASA (5500-X系列的ASA的IPS只)

  1. 连接对新的待机ASA的CLI通过控制台、Telnet或者SSH。
  2. 输入show failover命令为了验证ASA是新的备用装置。
  3. 输入sw模块模块ips恢复configure命令在ASA并且配置适当的IP/TFTP设置。
  4. 输入sw模块模块ips恢复boot命令在ASA为了转换镜像和重新启动IPS模块。
  5. 输入show module ips详细信息on命令ASA为了监控恢复状态。
  6. 一旦完成,请输入会话ips on命令ASA为了连接到IPS模块。
  7. 在IPS,请输入setup命令并且配置IP子网掩码/Gateway/ACL。
  8. 使用在网络的IPS模块上一步,请通过CLI恢复先前配置(例如:复制ftp://cisco123:cisco123@10.10.10.10/ips1-backup当前设置)。
  9. 为了验证IPS运行的配置更新,请输入show config命令
  10. 重新安装签名许可证并且升级签名定义如所需求。
  11. 如果需要,请输入failover active命令在新的备用装置为了恢复它到活动状态。

注意:使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

验证

使用本部分可确认配置能否正常运行。

命令输出解释程序工具仅限注册用户)支持某些 show 命令。请使用Output Interpreter Tool为了查看show命令输出分析。

  • show failover -当输入在ASA, show failover命令显示当前故障切换状态,建立接口状态和操作系统版本。
  • show failover历史记录- history命令的show failover显示时间戳故障切换事件列表在ASA的。
  • show module 1详细信息- show module 1详细信息命令在5500系列的ASA用于为了显示操作系统、网络设置和IPS模块的控制/数据信道状态。
  • show module ips详细信息- show module ips detials命令在5500-X系列的ASA用于为了显示操作系统、网络设置和IPS模块的控制/数据信道状态。

故障排除

本部分提供的信息可用于对配置进行故障排除。

  • debug module-boot [level] -显示与IPS模块引导进程涉及的调试消息。
  • no debug module-boot [level] -功能失效调试。

命令输出解释程序工具仅限注册用户)支持某些 show 命令。请使用Output Interpreter Tool为了查看show命令输出分析。

注意:使用 debug 命令之前,请参阅有关 Debug 命令的重要信息

相关信息



Document ID: 116155